Proceso de adecuación
La Certificación y Conformidad con el ENS conlleva la elaboración previa de un Plan de Adecuación que incluya las cuatro fases previas siguientes: Política de Seguridad, Categorización de sistemas, Análisis de Riesgos y Declaración de Aplicabilidad/Perfil de Cumplimiento.
1. Plan de adecuación
Es un documento con la siguiente información: el alcance de los sistemas que se van a someter al proceso de certificación en el ENS, la categoría los mismos, qué medidas del Anexo II se van a implementar (Declaración de Aplicabilidad), qué riesgos se asumen, la Política de Seguridad del Organismo con su organización de la seguridad...
Para abordar de forma eficiente el Plan de Adecuación es necesario realizar los siguientes pasos:
- Identificar el alcance del sistema
- Categorizar el sistema según las dimensiones de seguridad de los servicios prestados.
- Obtener la Declaración de Aplicabilidad Provisional.
- Realizar el Análisis de Riesgos.
- Validar la Declaración de Aplicabilidad Definitiva o Perfil de Cumplimiento Específico.
- Preparar y aprobar la Política de Seguridad.
2. Implantación de la seguridad
Una vez realizado el Plan de Adecuación, se pasa a la fase de implantación de la Seguridad. Esta fase consta de los siguientes pasos:
- Hoja de ruta: documentos a elaborar, medidas técnicas a implementar y definir las prioridades.
- Elaborar el Marco Normativo y la Implantación de la seguridad.
- Aprobar el Sistema de Gestión de la Seguridad de la Información.
3. Declaración / Certificación de Conformidad
La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS se determinará según dos procedimientos distintos según se trate de categoría MEDIA y ALTA o BÁSICA:
- Categorías MEDIA o ALTA: La conformidad de los sistemas de información con estas categorías se realizará mediante una auditoría formal que verifique los requerimientos contemplados en el ENS, al menos cada dos años, o con carácter extraordinario si se producen modificaciones significativas.
- Categoría BÁSICA: La conformidad de los sistemas de información en esta categoría requiere de una autoevaluación que verifique su cumplimiento al menos cada dos años o, con carácter extraordinario si se producen modificaciones significativas. Este requisito para la conformidad no impide que un sistema de categoría BÁSICA se someta a una auditoría formal.
4. Informar sobre el Estado de Seguridad. Métricas e Indicadores
Los organismos a los que se aplica el ENS están obligados a cumplimentar e informar sobre el Estado de Seguridad. Para cumplir con este mandato, el CCN ha desarrollado el proyecto INES (Informe Nacional del Estado de Seguridad):
5. Vigilancia y Mejora Continua
La gestión de la seguridad de la información es un proceso sujeto a cambios constantes que pueden proceder de cambios en la organización, amenazas, tecnologías y/o legislación y por ello es necesaria una mejora continua de nuestros sistemas.
Esta actualización continua conllevará entre otras acciones:
- Revisión de la Política de Seguridad de la Información
- Revisión de la información y los servicios, y su categorización
- Actualización del análisis de riesgos, al menos anualmente
- Revisión de la Declaración de Aplicabilidad o del Perfil de Cumplimiento
- Realización de auditorías internas
- Revisión del Plan de Mejora
- Revisión de las medidas de seguridad
- Revisión y actualización de procedimientos
- Revisión del Estado de Seguridad (INÉS)
6. Procesos de Adecuación para Entidades Locales
La Federación Española de Municipios y Provincias (FEMP), con la colaboración del Centro Criptológico Nacional, ha hecho público el Libro de recomendaciones: Itinerario de adecuación al Esquema Nacional de Seguridad (ENS) en el que se hace una descripción de las pautas, requisitos y pasos a seguir para conseguir definir una hoja de ruta personalizada para la adecuación al ENS de las entidades locales.
7. Catálogo de Productos Cualificados
Son productos adecuados para su uso en sistemas bajo el alcance del ENS en cualquiera de sus categorías (ALTA, MEDIA y BÁSICA). La calificación de un producto en una categoría permite su uso en las categorías inferiores.
